Преодоление защиты сети

Признаки попыток преодоления защиты периметра сети

– все признаки НСД;

– письма с приглашением зайти на определенную страницу в Интернете (где заранее расположен зловредный код, использующий уязвимость ПО);

– письма с приложенной к ним зловредной программой;

– большое количество входящих TCP-пакетов с флагом SYN c попытками открыть соответствующие компьютерные порты;

– резкое увеличение попыток сканирования и увеличение фиксации данных попыток в регистрационном журнале;

– перегрузка пропускной способности сети («отказ в обслуживании»);

– попытки взломать сессионный ключ компьютерного соединения и стать авторизованным пользователем;

– попытки доступа на редактирование таблиц маршрутизации сетевых устройств;

– атаки на серверы CGI и HTTP с попыткой запуска зловредного скрипта;

– атаки с помощью специально сформированных некорректных входных данных, с возможностью переполнения буфера атакуемых программ.

Выявление попыток прорыва периметра осуществляется теми же мерами что и против попыток получения НСД. Также необходимо производить анализ журналов межсетевых экранов и систем обнаружения атак.

Для устранения и недопущения прорыва периметра необходимо:

– использовать межсетевые экраны;

– использовать системы обнаружения и противодействия атакам (IDS);

– организовать демилитаризованную зону в компьютерной сети (DMZ);

– организовать криптостойкие межсетевые туннели (VPN);

– своевременно отслеживать и анализировать всю информацию, которая фиксируется в регистрационных журналах;

– использовать также все меры против НСД.

Выявляется представителями собственника информации (пользователь, системный администратор, администратор безопасности, администратор СУБД и т.п.) в процессе повседневной деятельности, а также при проведении периодических проверок соблюдения порядка доступа к защищаемой информации

 

На эту тему:

Leave a Comment